Fortinetは1月14日(米国時間)、「Supply Chain Attack Using Identical PyPI Packages, “colorslib”, “httpslib”, and “libhttps”|FortiGuard Labs」において、PyPI (Python Package Index)リポジトリに不正なPyPIパッケージが登録されたと伝えた。Python開発者のシステムにマルウェアを投下する3つの悪意のあるPyPIパッケージが発見されている。

  • Supply Chain Attack Using Identical PyPI Packages、“colorslib”、“httpslib”、and “libhttps”|FortiGuard Labs

    Supply Chain Attack Using Identical PyPI Packages, “colorslib”, “httpslib”, and “libhttps”|FortiGuard Labs

Fortinetの調査により、悪意のあるPyPIパッケージがPyPIリポジトリに追加されていたことが明らかとなった。発見された悪意のあるPyPIパッケージは以下3点。

  • colorslib
  • httpslib
  • libhttps

発見されたPyPIパッケージには同じセットアップスクリプトが使われ、PowerShellを起動し、Dropbox上にホストされている悪意のあるバイナリファイルを実行するよう設計されていたことがわかった。また、3つのPyPIパッケージは「Lolip0p」という同じ開発者によってPyPIリポジトリに公開されており、Lolip0pがこれらPyPIパッケージの公開日近くにリポジトリに参加したことも確認されている。

サイバー犯罪者がマルウェアを配布するため、PyPIリポジトリに悪意のあるパッケージを配置する行為を続けている。ソフトウェア開発者はサードパーティ製ソフトウェアを使用する場合はリスクが存在していることを認識した上で、利用するライブラリの情報を入念にチェックすることが望まれる。